电子政务外网技术标准

电子政务外网网络技术规范范围本文件规定了XX省电子政务外网网络技术规范的术语和定义、总体架构、IP地址、自治域及路由策略、VPN、QoS、运营商节点机房要求、运维管理及安全管理。本文件适用于指导XX省电子政务外网网络建设，各级政务外网管理部门可参照执行。规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T21061-2007国家电子政务网络技术和运行管理规范GB/T25647-2010电子政务术语GB/T50174-2017数据中心设计规范GW0202-2014国家电子政务外网安全接入平台技术规范GW0206-2014接入政务外网的局域网安全技术规范GW0206-2015国家电子政务外网IPv4地址规划GW0207-2015国家电子政务外网IPv4地址地方分配部署指南GWB18-2019国家电子政务外网平台二期工程（中央投资部分）标准规范运行支撑平台对接与实施规范中办发〔2002〕17号文件国家信息化领导小组关于我国电子政务建设实施方案中办发〔2006〕18号文件国家信息化领导小组关于推进国家电子政务网络建设的意见术语和定义下列术语和定义适用于本文件。电子政务外网E-governmentextranet电子政务外网是按照中办发〔2002〕17号文件和〔2006〕18号文件要求建设的我国电子政务重要基础设施，与互联网安全逻辑隔离，满足各级政务部门经济调节、市场监管、社会管理和公共服务等方面需要的政务公用网络。电子政务外网纵向覆盖中央、省、市（地）、县（区）、乡镇（街道）、村（社区），横向连接各级党委、人大、政府、政协、法院和检察院等政务部门。电子政务外网由中央政务外网和地方政务外网组成，地方政务外网由省级政务外网、市级政务外网、县级政务外网组成。本文件内简称“政务外网”指XX省电子政务外网。广域网Wideareanetwork广域网用于纵向覆盖中央、省、市（地）、县（区）各层级行政区域，由各级行政区域内广域网核心节点设备和各级行政区域之间长途线路组成。实现国家、省、市（地）、县（区）纵向业务的互联互通。城域网Metropolitanareanetwork城域网用于实现本级行政区域内的政务部门的横向连接，包括中央、省、市、县四级城域网。各级城域网通过纵向广域网实现互联。部门接入网Departmentaccessnetwork政务外网接入单位自行建设和管理的本地局域网或部门业务专网。多部门合驻办公且楼内局域网由专门机构统一管理时，可以实现整体接入政务外网，办公楼内的局域网络可以视为一个部门接入网。MPLS-VPNMPLS-VPN（多协议标签交换的虚拟专用网）是指采用多协议标签交换（Multi-ProtocolLabelSwitching）技术在骨干的宽带IP网络上构建虚拟专用网络（VPN），实现跨地域、安全、高速、可靠的数据、语音、图像多业务通信，并结合差别服务、流量工程等相关技术，将公众网可靠的性能、良好的扩展性、丰富的功能与专用网的安全、灵活、高效结合在一起，为用户提供高质量的服务。全局地址Globaladdress全局地址是在政务外网全网范围内可访问的IP地址。全局地址分为全局业务地址、全局终端转换地址和全局管理地址。全局业务地址Globalbusinessaddress全局业务地址是用于部署供全网访问的服务器或广义服务设备（包括IP存储、MCU、视频终端等）的IP地址。全局终端转换地址Globalterminaltranslationaddress全局终端转换地址是用于地方终端出省访问的转换地址。全局管理地址Globalmanagementaddress全局管理地址用于部署骨干网络设备、链路及网管、安管平台等设备的IP地址。地方业务地址Localbusinessaddress地方业务地址是用于部署供省内访问的服务器或广义服务设备（包括IP存储、MCU、视频终端等）的IP地址。QoSQoS（QualityofService，服务质量）指一个网络能够利用各种基础技术，为指定的网络通信提供更好的服务能力，是网络的一种安全机制，是用来解决网络延迟和阻塞等问题的一种技术。DiffServDiffServ（区分服务）是IETF工作组在1998年提出的一个服务模型，基于类的QoS技术，它不需要信令。在网络入口处，网络设备检查数据包内容，并为数据包进行分类和标记，所有后续的QoS策略都依据数据包中的标记做出。IGPIGP（内部网关协议）是在一个自治网络内网关（主机和路由器）间交换路由信息的协议。路由信息能用于网间协议（IP）或者其它网络协议来说明路由传送是如何进行的。IGP协议包括RIP、OSPF、IS-IS、IGRP、EIGRP。BGPBGP（边界网关协议）是运行于

TCP

上的一种自治系统的路由协议，主要功能是和其他的BGP系统交换网络可达信息。总体架构网络架构XX省电子政务外网按照省、市、县三级政务网络全覆盖模式建设，网络总体架构如图1所示，具体内容如下：省级网络：省级广域网核心节点横向连接至省级城域网核心节点和省级政务云平台，纵向上联至中央广域网接入节点，下联至市广域网核心节点；市级网络：市级广域网核心节点横向连接至市级城域网核心节点，纵向上联至省级广域网核心节点，下联至县级广域网核心节点；县级网络：县级广域网核心节点横向连接至县级城域网核心节点，纵向上联至市级广域网核心节点，乡镇、街道、行政村、居委会等各级行政单位归属于县级城域网范围内。XX省电子政务外网总体架构图业务区划分根据接入部门业务承载需要，政务外网逻辑上划分为“2+N”个业务网络，其中，“2”是指公用网络区和互联网接入区，“N”是指根据政务部门业务需求开设的多个虚拟业务专网。政务外网业务承载模型示意图如图2所示，具体内容如下：公用网络区：是实现各级政务部门之间互联互通的逻辑业务网络。公用网络区承载跨地区、跨部门的业务，提供认证、目录交换、公共应用等共性支撑服务；互联网接入区：是实现政务外网连接互联网的逻辑业务网络或网络区域。互联网接入区承载政务部门面向企业和公众服务的业务，提供政务部门工作人员访问互联网资源的网络通道。互联网接入区应部署安全接入平台，通过互联网方式安全接入并访问公用网络区或专用网络区的资源；注1：互联网接入区在地方政务外网分级设置，所使用的公网注册地址从本级互联网服务提供商处申请获取，并由地方政务外网机构自行分配管理。注2：政务外网广域网原则上不承载互联网接入区的流量。专用网络区：是“N”个虚拟部门业务专网的集合，主要承载政务部门特定需求的业务。政务外网业务承载模型示意图广域网拓扑结构广域网整体拓扑结构如图3所示，具体内容如下：广域网采用统一模式建设，分成省—市广域网和市—县广域网，县级以下不划分广域网层级；广域网主要承载电子政务的数据、音视频、图像等相关业务。跨部门及跨市（地）、跨县（区）的业务协同及信息共享系统，能够直接在电子政务外网的广域网上传输业务信息；省级广域网原则上不承载和传输直接访问互联网的业务，接入电子政务外网的政务部门访问互联网时，应由本级城域网负责；广域核心节点采用双设备冗余结构，广域网线路实现双链路冗余；省级政务云平台接入省广域网核心层节点。XX省广域网组网拓扑示意图设备要求广域网核心节点设备应符合表1要求：广域网核心节点路由设备技术要求序号属性技术要求1设备架构电信级设计架构，支持虚拟化、自动化、SDN等技术，支持网络分片技术，支持网络分片在线扩容，支持可扩展，RIP/OSPF/IS-IS/BGP4/多播路由等路由协议，支持明/密文认证2设备性能省级不少于20路万兆接口转发能力，市县级不少于10路千兆和万兆接口转发能力；省市级不低于110Tbps交换容量，县级不低于75Tbps交换容量，支持10GE、40GE、100GE接口3设备可靠性硬件支持部件冗余，设备系统软件支持虚拟化集群、软件热补丁，支持IP、LDP快速收敛协议等4虚拟专用网（VPN）L2VPN/L3VPN/组播/组播VPN/MPLSTE/SRv6/QoS5服务质量保证支持QoS技术，支持多层嵌套的QoS机制6配置管理支持流量统计分析城域网省级城域网省级城域网分为核心层、汇聚层和接入层。省级城域网拓扑结构如图4所示：其中：核心层设备做高速的数据转发，要求采用冗余核心设备组网，核心层速率为40/100G，满足城域网核心高速数据交换的要求；汇聚层设备用于接入部门的汇接，汇聚层到核心层采用双冗余线路联接，分担接入部门业务流量对核心设备的压力；接入层设备部署于用户机房，用于用户局域网的接入，采取就近接入的原则，上联至汇聚层，设备端口使用以太网端口，宜采用双设备双链路方式提高可靠性；统一互联网出口平台连接本地ISP，为本级接入用户提供互联网出口服务。省级城域网拓扑图市级城域网市级城域网应根据建设规模，采用“核心—接入”二层架构或“核心—汇聚—接入”三层架构。核心层节点应采用双核心结构，双链路下联汇聚层节点，互联各个政务部门。政务云平台接入城域网核心节点。市级城域网部署统一互联网出口，统一互联网出口平台连接本地ISP，为本级接入用户提供互联网服务，市级城域网拓扑结构如图5所示：市级城域网拓扑图县级城域网对于县级城域网节点，核心层节点应采用双核心结构，对于合驻办公和大规模委办局园区采用双链路接入，对于小型委办局园区采用单链路接入。考虑到县级直属单位接入点少，结构简单，应采用“核心—接入”二层架构。乡镇（街道）、村屯（社区）接入作为县级城域网的一部分，考虑到乡镇（街道）、村屯（社区）接入数量较大，应采用“核心-汇聚-接入”三层架构。县级城域网部署统一互联网出口，统一互联网出口平台连接本地ISP，为本级接入用户提供互联网服务，县级城域网拓扑结构如图6所示：县级城域网拓扑图城域网技术要求城域网技术要求具体如下：省、市、县政务外网城域网具备多业务统一承载能力，城域网中公用网络区、互联网接入区、专用网络区逻辑隔离；省城域网与全省广域网规划在同一个自治域内，省广域网省、市、县纵向三层VPN的规划部署由省级政务外网管理部门负责统一管理。城域网设备要求城域网核心节点设备应符合表2要求：城域网核心节点路由设备技术要求序号属性技术要求1设备架构电信级设计架构，支持虚拟化、自动化、SDN等技术，支持网络分片技术，支持网络分片在线扩容，支持可扩展，RIP/OSPF/IS-IS/BGP4/多播路由等路由协议，支持明/密文认证2设备性能省级支持不少于330路千兆接口转发能力，市县级不少于10路千兆和万兆接口转发能力；省市级不低于110Tbps交换容量，县级不低于75Tbps交换容量，支持10GE、40GE、100GE接口3设备可靠性硬件支持部件冗余，设备系统软件支持虚拟化集群、软件热补丁，支持IP、LDP快速收敛协议等表2（续）序号属性技术要求4虚拟专用网（VPN）L2VPN/L3VPN/组播/组播VPN/MPLSTE/SRv6/QoS5服务质量保证支持QoS技术，支持多层嵌套的QoS机制6配置管理支持流量统计分析部门接入网具体要求如下：接入部门应按照国家及行业安全标准规范做好本部门接入网的安全防护工作；省、市、县各级城域网接入层设备与接入部门的接入设备共同组成接入部门区域边界，各级城域网接入层设备统一安装至各接入部门，各部门应配备接入路由器、防火墙等网络及安全设备与本级城域网接入层设备完成对接；部门接入网终端接入由各部门自行管理，并遵循本级电子政务外网的接入要求。各地可结合实际，通过安全技术手段阻止非法用户接入政务外网，减少终端不安全因素，实现终端安全访问。接入政务外网的计算机终端与移动终端安全要求参见《接入政务外网的局域网安全技术规范》（GW0206-2014）。统一互联网出口平台统一互联网出口平台应符合以下要求:应遵循国家政务外网安全规范要求，归并互联网出口，逐步实现互联网集中接入，规范政务部门互联网安全管理；依托政务外网城域网，建设省、市、县三级统一互联网出口平台。有条件的市可建设市县一体化互联网出口平台，县以下各级部门统一接入县级互联网出口平台或市县一体化互联网出口平台；各级统一互联网出口平台应建设由防火墙、入侵防御、防病毒、抗拒绝服务攻击、行为审计、带宽控制、链路负载均衡等安全设备组成的安全防护体系。安全接入平台平台概述政务外网安全接入平台是面向不具备专线接入条件的各级政务部门、企事业单位、移动办公人员、现场执法人员和公众用户，提供安全接入到政务外网网络或业务的服务平台。建设要求政务外网安全接入平台部署于政务外网互联网接入区与公用网络区（或专用网络区）之间，采取省、市分级建设，有需求的县级单位可参考建设，接入政务外网的部门原则上使用本级政务外网安全接入平台公共设施。安全接入平台的建设要求参见《国家电子政务外网安全接入平台技术规范》（GW0202-2014）。平台架构政务外网安全接入平台架构如图7所示：安全接入平台架构示意图政务云平台对接省级政务云平台对接省级政务云平台与政务外网省级广域网核心路由器联接，采用双设备双链路方式互联。省级政务云平台对接方式如图8所示：省级政务云平台连接示意图市级政务云平台对接市级政务云平台架构同省级政务云平台架构，区别为市级政务云平台与市级政务外网城域网核心路由器联接。IP地址地址管理省级政务外网管理部门负责全省政务外网IP地址总体规划和管理，具体负责对全局地址的分配工作，规划省内业务地址和终端地址。市级政务外网管理部门负责各市及以下网络的IP分配和管理工作。各级部门接入政务外网使用的IP地址原则上向本级政务外网管理部门申请。IP地址规划和分配要求参见《国家电子政务外网IPv4地址规划》（GW0206-2015）和《国家电子政务外网IPv4地址地方分配部署指南》（GW0207-2015）。分配原则IP地址使用应满足以下要求：政务外网IP地址的分配以省、市（地）、县（区）为基本单元，地址分配应紧凑，市（地）及其下辖县（区）使用的地址段应连续，易于链路聚合，加快路由收敛速度，缩减路由表的大小，提高路由算法的效率；上下级设备互联时，互联地址段应由上级单位提供，上级设备接口配置单号地址，下级设备接口配置双号地址；IP地址划分的层次性应体现网络结构的层次性。如设备互联地址的规划，应使网络层次高的所用地址为较小值，层次低的为较大值。地址范围政务外网IP地址分为业务地址、终端地址和管理地址三大类，分别用于部署服务器、终端和网络设备。国家为XX省电子政务外网分配的IP地址区间见表3：XX电子政务外网IP地址范围表项目IP地址范围全局业务地址与分配区间全局管理地址与分配区间终端地址区间172地址或10地址IPV6总体要求政务外网需支持IPv6协议，政务外网的网络设备、安全设备、安全管理、业务应用等方面支持IPv4/IPv6双栈协议，使用IPv4-IPv6协议转换等方式，平滑升级支持协议线下的业务访问。自治域及路由自治域要求自治域管理和划分应满足如下要求：省政务外网自治域号码由省级政务外网管理部门统一分配和管理，自治域号码范围为65325-65354。省级政务外网城域网和纵向广域网使用自治域号码65325，13个市（地）自治域号码为65326-65338。剩余自治域号码预留；市级城域网XX级城域网划分单独自治域，构建VPN网络，可独立运行动态路由、静态路由等。路由要求路由协议政务外网采用IS-IS协议作为自治域内IGP协议，用于传递设备间互联地址、设备环回地址等路由，实现管理面互联互通；采用iBGP协议传递域内VPN路由，实现政务公用业务、互联网业务、部门专网业务互通；采用eBGP协议作为自治域间路由协议，传递域间VPN路由，实现跨域业务互联互通。路由策略要求路由设计应反映出整个网络的层次结构，并与自治域、各地区子网的IP地址分配相契合，做到路由合理聚合，减少路由表的条目，减轻路由更新给网络带来的负荷，提高路由稳定性。VPN总体要求政务外网采用MPLS作为统一的多业务平台承载技术，提供三层MPLS-VPN的开通服务，支持跨域对接，具备开通中央、省、市、县四级纵向MPLS-VPN的能力。部署要求部署应满足如下要求：针对不同的业务需要，为满足不同委办单位的业务承载诉求，VPN可在默认分片承载，也可在指定分片内承载，需在组网中构建N个专网业务VPN、一个共享业务VPN和一个互联网业务VPN；省-市-县纵向MPLS-VPN的规划部署由省级政务外网管理部门负责统一管理，在市、县广域网核心设备作为PE，分别接入城域各部